Riesgos navideños: estafas a CEOs y robos de datos

S21sec, compañía española de seguridad digital, alertó a las empresas sobre los riesgos de esta época de fiestas y fin de año y acerca de cómo los directivos de alto perfil puede ser vulnerables.

“Estas fechas de celebraciones navideñas y asuetos en la mayor parte del mundo, favorecen los riesgos cibernéticos a los que las empresas y usuarios pueden estar expuestos”, señaló Alex Clares, analista de seguridad de la compañía.

En estos picos vacacionales se reporta con alta incidencia la llamada “Estafa del CEO” que implica, mediante técnicas de ingeniería social (acompañada de infección por malware), ataques con el fin de robar recursos financieros mediante transferencias interbancarias o datos a través del robo de identidad y correo electrónico de los directores de las compañías.

Lo que sucede es que el ataque dirigido abre la posibilidad de acceder a las transacciones monetarias de ciertos fondos, al suplantar la identidad del usuario. Estudian la manera de escribir en nombre del directivo (al falsificar correos corporativos o personales tipo Gmail, Hotmail, etc), quien al estar de vacaciones tiene acceso limitado a internet. Por lo que los mandos medios no logran validar la información ya que no existe un filtro intermedio que permita la autorización personalizada de fondos.

La sugerencia del experto para evitar casos de transferencias de recursos es contar con una comunicación directa y personal, como una llamada telefónica o una cuenta de correo electrónico alterna y segura (de preferencia también empresarial) que permita hacer ‘doble check’ a las autorizaciones de la banca; esto último ha permitido prevenir ataques de este tipo que incrementan debido a las festividades.

El riesgo vive dentro de la empresa

Una de las constantes preocupaciones de las empresas es la cultura de seguridad entre sus empleados. Muchas de ellas ya están conscientes de que uno de los primordiales riesgos de ataques vienen desde sus empleados, no necesariamente con el afán de atacar, sino por la falta de conciencia sobre los riesgos que corremos al visitar ciertas páginas de internet o abrir algún link de dudosa procedencia.

Particularmente en las épocas decembrinas existen campañas de promoción que otorgan premios o precios bajísimos en marcas de prestigio, a través de las cuales parecería confiable realizar una transacción.

Por ejemplo, parte de la estrategia de estas campañas dedicadas a robar datos, es que te darán beneficios extras si compartes el link desconocido con cierto número de personas y además te solicitan datos sensibles, tales como tu INE y la de 10 otros compañeros.

La recomendación del experto es sospechar abiertamente cuando una campaña de recolección de datos te solicita información altamente sensible que vaya más allá del correo electrónico o número telefónico.

Las vacaciones y sus redes: riesgos latentes

Estos días finales del año significan vacaciones, la temporada alta comienza y con ello el uso de tarjetas bancarias, transacciones, compras y viajes. Uno de los espacios más peligrosos para los datos de los usuarios son las redes abiertas de los hoteles en los que se hospedan o los restaurantes que visitan.

“Todos los años hay un incremento de aproximadamente el 20% de los ataques a vacacionistas debido a que son sujetos vulnerables que realizan operaciones riesgosas en redes públicas; sin embargo, en 2017 hubo un aumento aún mayor, de hasta el 40%, y que comenzó a partir del ‘Black Friday’ y se extiende hasta principios de enero”, asegura Clares. El experto sugiere evitar el uso de la conexión de Wi-Fi del hotel, por más prestigioso que éste sea, para operaciones sensibles como el uso de servicios de Banca Online, pago de servicios y todos aquellos que impliquen el uso de tarjetas de débito o crédito.

Si es preciso realizar una operación bancaria se recomienda utilizar un servicio de VPN o la red 3g o 4g del teléfono, así como asegurarse de que la señal de Wi Fi del smartphone esté desactivada antes de realizar la transacción y siempre desde las aplicaciones oficiales de nuestros bancos.

Más cultura de ciberseguridad para 2019

Los incidentes de ciberseguridad pueden evitarse con prevención; para las empresas que experimentaron algún suceso negativo este 2018, es importante que se blinden con mejores sistemas y atenciones para 2019. Algunas recomendaciones son:

  1. Aprender del incidente: analizar en qué se falló, por qué se falló y qué se puede hacer para evitar que se repita.
  2. Impulsar una cultura de ciberseguridad interna más profunda entre los empleados de la compañía, el personal administrativo y técnico.
  3. Poner vital atención en la seguridad física y en el uso de los recursos tecnológicos que pudieran hacer personal de vigilancia, auxiliares de control, etc., que inicialmente no estuvieran relacionados con áreas de tecnología: todos aquellos empleados que hagan uso de recursos tecnológicos de la empresa son potenciales víctimas de engaño (descarga de software ilegal, música, películas, etc) que a través de un malware puede comprometer la seguridad de la compañía entera.
  4. Poner vital atención al sistema de seguridad física, así como a sus vigilantes en el uso de  los sistemas de cómputo que tienen a la mano, la descarga de lo que parecería una inocente película es una puerta abierta a ciberdelincuentes y puede comprometer toda la red empresarial.
  5. Siempre utilizar las aplicaciones autorizadas de la banca o servicios que impliquen un pago o comunicación bancaria. Los desarrollos de terceros no oficiales siempre pueden conllevar al robo de datos, fondos o identidad.
  6. El usuario final de la tecnología debe estar consciente que colocar memorias USB de origen desconocido o ajeno en la computadora personal o empresarial implica un alto riesgo de infección así como las descargas ilegales o aquellas que ofrecen y facilitan accesos sencillos o gratuitos hacia servicios de streaming (Netflix, ClaroVideo, etc) o aplicaciones bancarias.

“Como siempre hemos pensado en S21sec, la seguridad de una empresa es tan fuerte como el eslabón más débil de la cadena. Y sabemos que ese eslabón siempre es el ser humano. Es tiempo de ofrecer a los colaboradores herramientas e información que mantengan protegidos su propio patrimonio y el de la empresa”, finalizó el ejecutivo.

DEJA UNA RESPUESTA

Please enter your comment!
Please enter your name here